CVE-2023-6000 XSS sebezhetőség több mint 3000 webhely megcélzására

Egy új rosszindulatú programkampányból származó támadások száma a közelmúltban a WordPress Popup Builder beépülő modul egy jól ismert sebezhetőségét használja ki, amely több mint 3300 webhelyet érint XSS-támadásokon keresztül.

A januárban azonosított Balada Injector kampány kihasználta a CVE-2023-6000 jelzésű XSS (cross-site scripting) biztonsági rést, amely 8,8-as CVSS-alappontszámmal büszkélkedhet.

A Sucuri arról számolt be, hogy az elmúlt három hétben a támadások számában észrevehetően megnövekedett egy folyamatban lévő rosszindulatú programkampány, amely kifejezetten a Popup Builder 4.2.3-as és korábbi verzióiban lévő sebezhetőségét célozta.

A Sucuri SiteCheck távoli rosszindulatú programellenőrzése több mint 1170 webhelyen azonosított fertőzést. Az ezekkel a támadásokkal kapcsolatos domaineket 2024. február 12-én, kevesebb mint egy hónapja regisztrálták, beleértve a ttincoming.traveltraffic[.]cc és a host.cloudsonicwave[.]com domaineket.

Üzemmód

A Popup Builder WordPress beépülő modul egy ismert sebezhetőségét kihasználva a támadók rosszindulatú kódot fecskendeznek be a WordPress adminisztrációs felületének Custom JS vagy CSS részébe, amely a wp_postmeta adatbázistáblában van tárolva, amint azt a Sucuri a Cyber Security Newsnak tárta fel.

Ezek az injekciók a Popup Builder különféle eseményeit fedik le, például az sgpb-ShouldOpen, sgpb-ShouldClose, sgpb-WillOpen, sgpbDidOpen, sgpbWillClose, sgpb-DidClose, amelyek megfelelnek a hivatalos webhelyen a popup megjelenítési folyamat különböző szakaszainak.

A CVE-2023-6000 hatásának mérséklésének módjai

Az enyhítés érdekében a nem javított Popup Builder beépülő modulok tulajdonosainak azt tanácsoljuk, hogy azonnal frissítsék a sebezhető beépülő modult, vagy használjanak webalkalmazás-tűzfalat a virtuális javításhoz. A káros injekciót a WordPress adminisztrációs felületén a Popup Builder „Egyéni JS vagy CSS” részében lehet eltávolítani.

A kutatók szerint az újbóli fertőzés elkerülése érdekében alapos vizsgálatot kell végezni mind a kliens, mind a szerver szintjén, hogy azonosítsák a rejtett webhelyek hátsó ajtóit. Ez a legutóbbi rosszindulatú programkampány határozottan emlékeztet a javított és frissített webhelyszoftverek karbantartásának elhanyagolásával járó kockázatokra.